Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0990 GnuTLS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

19.06.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.06.2017):
Debian veröffentlicht für die alte stabile Distribution Jessie sowie die
neue stabile Distribution Stretch Sicherheitsupdates für 'gnutls28'.
Version 2 (12.06.2017):
Für Fedora 26 steht ein weiteres Sicherheitsupdate in Form des Paketes
'mingw-gnutls-3.5.13-1.fc26' im Status 'testing' bereit.
Version 1 (08.06.2017):
Neues Advisory

Betroffene Software:

GNU GnuTLS < 3.5.13


Betroffene Plattformen:

Debian Linux 8.8 Jessie
Debian Linux 9.0 Stretch
Red Hat Fedora 25
Red Hat Fedora 26



Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um unter Umständen einen Denial-of-Service (DoS)-Angriff
durchzuführen.

Der Hersteller hat GnuTLS in der Version 3.5.13 als Sicherheitsupdate zur
Behebung der Schwachstelle zur Verfügung gestellt.

Für Fedora 25 und 26 stehen Sicherheitsupdates in Form der Pakete
'gnutls-3.5.13-1.fc25' und 'gnutls-3.5.13-1.fc26' bereit. Dasjenige für
Fedora 26 ist im Status 'testing', während sich dasjenige für Fedora 25 noch
im Status 'pending' befindet.


Patch:

Fedora Security Update FEDORA-2017-f0d48eabe6 (Fedora 26,
gnutls-3.5.13-1.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f0d48eabe6>

Patch:

Fedora Security Update FEDORA-2017-f646217583 (Fedora 25,
gnutls-3.5.13-1.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f646217583>

Patch:

GnuTLS Security Advisory GNUTLS-SA-2017-4

<http://www.gnutls.org/security.html#GNUTLS-SA-2017-4>

Patch:

Fedora Security Update FEDORA-2017-7936341c80 (Fedora 26,
mingw-gnutls-3.5.13-1.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-7936341c80>

Patch:

Debian Security Advisory DSA-3884-1

<https://www.debian.org/security/2017/dsa-3884>


CVE-2017-7507: Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

In GnuTLS existiert eine Schwachstelle, durch die es bei der Dekodierung
einer gültigen 'client hello'-Nachricht durch die 'OCSP status request'
TLS-Extension zur Dereferenzierung eines Nullzeigers (Null Pointer
Dereference) und infolgedessen zum Absturz der Anwendung kommen kann.
Hiervon betroffen sind GnuTLS-Serveranwendungen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0990/>

Fedora Security Update FEDORA-2017-f0d48eabe6 (Fedora 26,
gnutls-3.5.13-1.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f0d48eabe6>

Fedora Security Update FEDORA-2017-f646217583 (Fedora 25,
gnutls-3.5.13-1.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f646217583>

GnuTLS Security Advisory GNUTLS-SA-2017-4:
<http://www.gnutls.org/security.html#GNUTLS-SA-2017-4>

Schwachstelle CVE-2017-7507 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7507>

Fedora Security Update FEDORA-2017-7936341c80 (Fedora 26,
mingw-gnutls-3.5.13-1.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-7936341c80>

Debian Security Advisory DSA-3884-1:
<https://www.debian.org/security/2017/dsa-3884>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.